configurando firewall en appliances pfsense

Upload: maicol-munoz

Post on 09-Jul-2015

1.782 views

Category:

Documents


2 download

DESCRIPTION

Configurando Firewall en Appliances Pfsense

TRANSCRIPT

TALLER DE FIREWALLS. CONFIGURANDO FIREWALL EN APPLIANCES PFSENSE.POR: Maicol Muoz.

INSTRUCTOR: Andres Mauricio Ortiz.

Tecnlogo en administracin de redes informticas. Gestin de la seguridad de la red. 35442.

Servicio nacional de aprendizaje (SENA) - Antioquia Centro de Servicios y Gestin Empresarial. (CESGE)

INTRODUCCION.La seguridad es la principal defensa que puede tener una organizacin si desea conectarse a Internet, dado que expone su informacin privada y arquitectura de red a los intrusos de Internet . El Firewall ofrece esta seguridad, mediante:Polticas de seguridad, determinando que servicios de la red pueden ser accesados y quienes pueden utilizar estos recursos, manteniendo al margen a los usuarios no-autorizados.

MARCO TEORICO. Que es un Firewall. Un Firewall se encarga de filtrar el trafico entre distintas redes, como mnimo dos. Puede ser un dispositivo fsico o un software que corre sobre un sistema operativo. En general, se puede ver como un sistema con dos o mas interfaces de red para las cuales se fijan reglas de filtrado que determinan si una conexin puede establecerse o no. Incluso puede realizar modificaciones sobre las comunicaciones como lo hace NAT. Dependiendo de las necesidades de cada red, puede ponerse uno o mas Firewall para establecer distintos permetros de seguridad en torno a un sistema. Es frecuente tambin que se necesite exponer algn servidor a internet (como es el caso de un servidor web, un servidor de correo, etc.), y en esos casos, en principio, se debe aceptar cualquier conexin a ellos. Lo que se recomienda en esa situacin es situar ese servidor en un lugar aparte de la red interna, el que denominamos DMZ o zona desmilitarizada. En la zona desmilitarizada se pueden poner tantos servidores como se necesiten. Con esta arquitectura, permitimos que el servidor sea accesible desde internet de tal forma que si es atacado y se gana acceso la red local sigue protegida por el Firewall. En conclusin, cualquier Firewall generalmente no tiene mas que un conjunto de reglas que permiten examinar el origen y destino de los paquetes que viajan a travs de la red. Hay dos maneras de implementarlo: 1. Poltica por defecto ACEPTAR: todo lo que entra y sale por el Firewall se acepta y solo se denegara lo que se diga explcitamente.

2. Poltica por defecto DENEGAR: todo esta denegado, y solo se permitir pasar por el Firewall aquello que se permita explcitamente. Es importante el orden en que se establecen las reglas, ya que ellas se leen en forma secuencial. Cuando se encuentra una regla para un paquete, no se mira el resto de las reglas para ese paquete, por lo que si se ponen reglas permisivas entre las primeras del Firewall, puede que las siguientes no se apliquen por lo que no servir de nada.

Requerimientos:*Appliances Pfsense. *Red LAN.(maquinas windows xp) *Red DMZ.(maquina Centos linux) *Red WAN.

DESARROLLANDO . En mi red DMZ implementare una maquina virtual con sistema operativo CentOs actuando como servidor WEB,FTP y DNS adems este servidor sera accesible mediante SSH. En mi red LAN tendr una maquina con Windows XP desde la cual har pruebas de accesos y administrare la interfaz grfica de Pfsense,a esta maquina podre acceder mediante Rdesktop. Nuestro Pfsense tendr tres tarjetas de red la primera en red interna llamada LAN, la segunda en adaptador puente que se conectara con la WAN y desde la cual har pruebas de ingreso con mi maquina real y la tercera en red interna llamada DMZ. Esto va a ser lo primero a configurar, adems debemos tener presentes las direcciones MAC de las diferentes tarjetas de red para saber identificarlas en el momento de configurarlas en el Pfsense.

En mi caso tengo una maquina dentro de la LAN con Windows XP, esta esta conectada a la interfaz LAN del Pfsense y tiene la IP 192.168.1.100 y el gateway 192.168.1.1 (la cual es la IP de la LAN del Pfsense). La usuario por defecto es admin y la clave por defecto es Pfsense.

Ya en nuestro administrador grafito de Pfsense lo primero a realiuzar sera configurar nuestras interfaces de red.

Ahora la WAN viene configurada para recibir direccin mediante DHCP

La interfaz LAN ya tiene una direccin IP definida por defecto, si quisiramos cambiarla por una a nuestro gusto este es el rea para hacerlo, en mi caso solo a manera de practica la dejaremos como esta.

Ahora la interfaz OPT1 sera la que vamos a habilitar para nuestra DMZ, basta con asignarle una direccin y habilitarla, en mi caso la IP sera la 192.168.100.1 .

Ya configuradas nuestras interfaces pasaremos a la configuracin de nuestro NAT. Deberemos especificar dos reglas de NAT , una para la DMZ y otra para la red LAN. Primero definimos la interfaz externa (WAN), definimos la subred a la cual se le har el NAT (DMZ y LAN), y todas las dems opciones las dejamos por defecto.

Ya que tenemos nuestro NAT lo que haremos sera publicar nuestros servicios internos hacia internet (DNAT).

Lo que hicimos en la anterior imagen fue crear reglas de DNAT para publicar mis servicios internos y redirigirlos hacia la DMZ y el escritorio remoto hacia el equipo de la LAN. Ya solo bastara con la creacin de nuestras reglas de firewall. Nota: Pfsense trabaja en forma Statefull. Yo mostrare un solo ejemplo de como cree las reglas ya con esta se guiran para las dems reglas.

De todos modos con la tabla de todas las reglas es mas que suficiente para la creacin de las reglas.

Las reglas que he creado en la interfaces LAN fueron salida a internet por http y https seguro, la red LAN saldr por el DNS de la DMZ hacia internet, saldr hacia cualquier FTP ya sea de internet o ya sea interno (DMZ), saldr tambin hacia cualquier SSH,salida hacia cualquier servidor de correo,y tambin permitimos que en esta interfaces se le pueden hacer ping. Ya por ultimo deberemos especificar la regla de denegacin para que deniegue todo y solo permita lo que establecimos.

Las reglas de la WAN se crean automticamente por causa del DNAT solo deberemos agregar dos reglas una que permita el ping y otra de denegacin de todos los servicios.

Las reglas creadas en la interfaces DMZ son para salida hacia http-https seguro y hacia el DNS de internet. Y la regla de ping y la regla de denegacin de servicios.

Glosario: DMZ: Una DMZ es una red con seguridad perimetral, lo que se hace es ubicar una subred entre la lan y la wan. LAN: Una red de rea local. WAN: Las Redes de rea amplia. Router: Enrutador, encaminador. Dispositivo hardware o software para interconexin de redes de computadoras que opera en la capa tres (nivel de red) del modelo OSI. El router interconecta segmentos de red o redes enteras. Hace pasar paquetes de datos entre redes tomando como base la informacin de la capa de red. SDM: SDM es la abreviatura de Cisco Router and Security Device Manager. Una herramienta de mantenimiento basada en una interfaz web desarrollada por Cisco. No es simplemente una interfaz web. Es una herramienta java accesible a travs del navegador. Esta herramienta soporta un amplio numero de routers Cisco IOS. En la actualidad se entrega preinstalado en la mayoria de los routers nuevos de Cisco. SSH: SSH (Secure SHell, en espaol: intrprete de rdenes segura) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a mquinas remotas a travs de una red. Permite manejar por completo la computadora mediante un intrprete de comandos, y tambin puede redirigir el trfico de X para poder ejecutar programas grficos si tenemos un Servidor X (en sistemas Unix y Windows) corriendo. JAVA: Java es un lenguaje de programacin. Existe un gran nmero de aplicaciones y sitios Web que no funcionan a menos que Java est instalado, y muchas ms que se crean a diario. Java

es rpido, seguro y fiable. De porttiles a centros de datos, de consolas de juegos a superequipos cientficos, de telfonos mviles a Internet, Java est en todas partes. NAT: En las redes de computadoras , NAT es el proceso de modificacin de la direccin IP de informacin en los encabezados de paquetes IP , mientras que en trnsito a travs de un trfico de dispositivos de enrutamiento El tipo ms simple de NAT proporciona una traduccin a una de las direcciones IP. DNS: es un sistema de nomenclatura jerrquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia informacin variada con nombres de dominios asignado a cada uno de los participantes. Su funcin ms importante, es traducir (resolver) nombres inteligibles para los humanos en identificadores binarios asociados con los equipos conectados a la red, esto con el propsito de poder localizar y direccionar estos equipos mundialmente. TCP: s uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicacin, posibilita la administracin de datos que vienen del nivel ms bajo del modelo, o van hacia l, (es decir, el protocolo IP). Cuando se proporcionan los datos al protocolo IP, los agrupa en datagramas IP, fijando el campo del protocolo en 6 (para que sepa con anticipacin que el protocolo es TCP). TCP es un protocolo orientado a conexin, es decir, que permite que dos mquinas que estn comunicadas controlen el estado de la transmisin. UDP: UDP son las siglas de Protocolo de Datagrama de Usuario (en ingls User Datagram Protocol) un protocolo sin conexin que, como TCP, funciona en redes IP. UDP/IP proporciona muy pocos servicios de recuperacin de errores, ofreciendo en su lugar una manera directa de enviar y recibir datagramas a travs una red IP. Se utiliza sobre todo cuando la velocidad es un factor importante en la transmisin de la informacin, por ejemplo, RealAudio utiliza el UDP.

El FTP utiliza TCP/IP, mientras que TFTP utiliza UDP. TFTP son las siglas de Protocolo de Transferencia de Archivos Triviales (en ingls Trivial File Transfer Protocol), y puesto que es trivial, perder algo de informacin en la transferencia no es crucial Stateless: Crear reglas de ida y de respuesta. Statefull: Crear reglas de ida y las reglas de respuestas son automaticas no hay que crearlas. Mascara wildcard: Una mscara wildcard es sencillamente una agrupacin de 32 bits dividida en cuatro bloques de ocho bits cada uno (octetos). La apariencia de una mscara wildcard le recordar problablemente a una mscara de subred. Salvo esa apariencia, no existe otra relacin entre ambas. Por ejemplo, una mscara wildcard puede tener este aspecto:192.168.1.0 mascara normal 255.255.255.0 mascara wildcard 0.0.0.255. mascara normal 255.255.0.0 mascara wildcard 0.0.255.255 mascara normal 255.0.0.0 mascara wildcard 0.255.255.255